Oracle Cloud Infrastructureドキュメント

IPSec VPN概要

オンプレミス・ネットワークと仮想クラウド・ネットワーク(VCN)を接続する1つの方法は、IPSec VPNを使用することです。 IPSecは「インターネット・プロトコル・セキュリティ」または「IPセキュリティ」の略です。 IPSecは、パケットが送信元から送信先に転送される前に、IPトラフィック全体を暗号化するプロトコル・スイートです。

このトピックでは、VCNのIPSec VPNの概要を示します。 IPSec VPNを含むシナリオについては、「シナリオB: VPNとのプライベート・サブネット」および「シナリオC: VPNを使用したパブリック・サブネットとプライベート・サブネット」を参照してください。

必要な人材と知識

通常、次のタイプの人員がOracle Cloud Infrastructureを使用してIPSec VPNを設定します:

  • Oracle Cloud InfrastructureConsole」を使用して仮想ネットワークとIPSec VPNに必要なクラウド・コンポーネントを設定する「Dev Opsチーム・メンバー」 (または同様の機能)。
  • 「ネットワーク・エンジニア」 (または同様の機能)。Dev Opsチーム・メンバーから提供された情報でオンプレミス・ルーターを構成します。

ヒント

Dev Opsチーム・メンバーは、クラウド・コンポーネントの作成と管理に必要な権限を持っている必要があります。
Oracle Cloud Infrastructureテナンシのデフォルトの管理者であるか、「管理者グループ」のメンバーである場合は、必要な権限が付与されています。 ネットワーク・コンポーネントへのアクセスを制限する方法については、「アクセス制御」を参照してください。

担当者は、以下の概念と定義に精通している必要があります:

クラウド・リソース
クラウド・プラットフォームでプロビジョニングするもの。 たとえば、Oracle Cloud Infrastructureを使用すると、クラウド・リソースは、プラットフォーム上のVCN、コンピュート・インスタンス、ユーザー、コンパートメント、ロード・バランサ、またはその他のサービス・コンポーネントを参照できます。
オンプレミス
従来のデータセンター環境を指す、クラウド・テクノロジで広く使用されている用語。 オンプレミスとは、ロケーションのシナリオ、専用のフロア・スペース、専用のデータセンター・ビルディング、またはデスクの下にあるデスクトップのことです。
オラクル・クラウド識別子(ocid)
Oracle Cloud Infrastructureでプロビジョニングする各リソースに割り当てられた一意の識別子。 OCIDは、Oracleが自動的に生成する長い文字列です。 OCIDの値を選択することも、リソースOCIDを変更することもできません。 詳細は、「リソース識別子」を参照してください。

Oracle IPSec VPNについて

一般に、IPSecは次のモードで構成できます:

  • トランスポート・モード: IPSecはパケットの実際のペイロードのみを暗号化して認証し、ヘッダー情報は元のままです。
  • トンネル・モード(Oracleでサポート): IPSecはパケット全体を暗号化して認証します。 暗号化の後、パケットはカプセル化され、異なるヘッダー情報を有する新しいIPパケットを形成します。

Oracle Cloud Infrastructureは、IPSec VPNのトンネル・モードのみをサポートしています。

各Oracle IPSec VPNは、静的ルートを使用してトラフィックをルーティングする複数の冗長IPSecトンネルで構成されています。 Border Gateway Protocol (BGP)は、Oracle IPSec VPNではサポートされていません。

重要

Oracleは、IPSec VPN接続を構成する複数のトンネル間で非対称ルーティングを使用します。
1つのトンネルをプライマリ、別のトンネルをバックアップとして構成しても、VCNからオンプレミス・ネットワークへのトラフィックは、デバイス上にあるすべてのトンネルを使用できます。 それに応じてファイアウォールを構成します。 そうしないと、接続を介したpingテストやアプリケーション・トラフィックが確実に機能しなくなります。

IPSec VPNのサイト・ツー・サイト・トンネルには、次の利点があります:

  • 公衆通信回線はデータを伝送するために使用されるため、あるサイトから別のサイトへ専用の高価なリース回線は必要ありません。
  • 参加しているネットワークとノードの内部IPアドレスは、外部ユーザーには表示されません。
  • 送信元と送信先の間のすべての通信が暗号化され、情報の盗難の可能性が大幅に低下します。

IPSec VPNコンポーネントの概要

基本的なNetworkingサービス・コンポーネントについてまだ理解していない場合は、先に進む前に「Networkingの概要」を参照してください。

VCNにIPSec VPNを設定するときは、いくつかのNetworkingコンポーネントを作成する必要があります。 コンソールまたはAPIを使用してコンポーネントを作成できます。 コンポーネントの次の図と説明を参照してください。

このイメージは、IPSec VPNのコンポーネントを示しています

cpeオブジェクト
IPSec VPNの終わりには、オンプレミス・ネットワークの実際のルーター(ハードウェアかソフトウェアかに関わらず)があります。 「顧客構内設備(CPE)」という用語は、このタイプのオンプレミスの機器を参照するために、一部の業界で一般的に使用されています。 VPNを設定するときは、ルーターの「仮想表現」を作成する必要があります。 オラクルは仮想表現にCPEを呼び出しますが、このドキュメントでは通常、「CPEオブジェクト」という用語を使用して、仮想表現を実際のオンプレミス・ルーターと区別します。 CPEオブジェクトには、Oracleが必要とするルーターに関する基本情報が含まれています。
動的ルーティング・ゲートウェイ(drg)
Oracle IPSec VPNの終わりには、動的ルーティング・ゲートウェイと呼ばれる仮想ルーターがあります。これは、オンプレミス・ネットワークからのVCNへのゲートウェイです。 オンプレミス・ネットワークとVCNを接続するためにIPSec VPNまたはOracle Cloud Infrastructure FastConnectプライベート仮想回線」を使用している場合、トラフィックはDRGを通過します。 詳細については、「動的ルーティング・ゲートウェイ(DRG)」を参照してください。
ネットワーク・エンジニアは、DRGを「VPNヘッド・エンド」と考えることができます。 DRGを作成したら、コンソールまたはAPIを使用して、VCNにアタッチする必要があります。 また、VCNからDRGにトラフィックをルーティングする1つ以上のルート・ルールを追加する必要があります。 そのDRGアタッチメントとルート・ルールがなければ、VCNとオンプレミス・ネットワーク間でトラフィックは流れません。 いつでも、VCNからDRGをデタッチできますが、残りのすべてのVPNコンポーネントを維持することができます。 その後、DRGを再アタッチしたり、別のVCNにアタッチしたりすることができます。
ipsec接続
CPEオブジェクトとDRGを作成したら、IPSec接続を作成して接続します。これにより、複数のIPSecトンネルが冗長化されます。 障害が発生した場合やOracleがメンテナンスのためにオフラインにする場合に備えて、すべてのトンネルをサポートするようにオンプレミス・ルーターを構成することをお薦めします。 各トンネルには、ネットワーク・エンジニアが「オンプレミス・ルーターの構成」 (IPアドレスと秘密キー)を使用するときに必要な構成情報があります。

コンポーネントのアクセス制御

アクセス制御のために、IPSec VPNを設定するときは、各コンポーネントを配置する場所でコンパートメントを指定する必要があります。 使用するコンパートメントが不明な場合は、すべてのコンポーネントをVCNと同じコンパートメントに入れます。 コンパートメントとネットワーク・コンポーネントへのアクセスを制限する方法については、「アクセス制御」を参照してください。

コンポーネント名と識別子

必要に応じて、コンポーネントを作成するときに各コンポーネントにわかりやすい名前を割り当てることができます。 これらの名前は一意である必要はありませんが、テナンシ全体で一意の名前を使用することがベスト・プラクティスです。 名前に機密情報を含めることは避けてください。 Oracleは自動的に各コンポーネントにOCIDを割り当てます。 詳細は、「リソース識別子」を参照してください。

静的ルートについて

VPNのIPSec接続を作成するときは、1つまたは複数の静的ルートを指定する必要があります。 たとえば、オンプレミス・ネットワーク、またはVCNと通信する必要のあるネットワーク内の特定のサブネットのCIDRを指定できます。 このセクションでは、静的ルートを指定する方法を提案します。

重要

IPSec VPNを設定した後は、トンネルに関連付けられている静的ルートのリストを編集または拡張することはできません。

静的ルートを変更するには、IPSec接続を削除してから再作成し、ルーターを再構成する必要があります。

  • プルーフ・オブ・コンセプト(POC)の場合: 1つのオンプレミス・ルーターで単純なPOCを実行している場合、オンプレミス・ネットワークの0.0.0.0/0またはCIDRの静的ルートが1つだけあれば十分です。 「例: 概念の証明を設定するIPSec VPN」を参照してください。
  • 本番ネットワークの場合:トンネルに関連付けられた静的ルートのリストを編集または拡張することはできないため、IPSec接続を作成するときにリストに0.0.0.0/0の静的ルートを含めることをお薦めします。 このようにして、既存のIPSec VPNに触れることなく、オンプレミス・ネットワークを後で変更または拡張することができます。これは、いつでも実行できるVCNルート・ルールを更新するだけで済むためです。 0.0.0.0/0静的ルートは、オンプレミス・ネットワーク全体のCIDR (またはVCNと通信する必要がある各サブネットの静的ルート)の静的ルートに代わって、または静的ルートに加えて追加できます。 「複数の地理的エリアを含むレイアウトの例」を参照してください。
  • ポート・アドレス変換(PAT)の場合:オンプレミス・ルーターとVCNの間でPATを実行している場合、IPSec接続の静的ルートはPAT IPアドレスです。 「PATによるレイアウトの例」を参照してください。

IPSec VPNとFastConnectの両方を使用する場合

IPSec VPNと「FastConnectプライベート仮想回線」の両方を同じDRGに設定する場合、IPSec VPNは静的ルートを使用しますが、FastConnectはBGPを使用することを考慮してください。 また、以下の点を考慮してください:

  • Oracleは、FastConnect仮想回線BGPセッションを介して、各VCNのサブネットのルートをアドバタイズします。
  • 静的ルートがオンプレミス・ネットワークによってアドバタイズされたルートと重複する場合、Oracleはデフォルトのルート選択動作を無効にして、静的ルート上のBGPルートを優先します。

次のステップ

次の関連トピックを参照してください: